中國信通院第十批可信云安全評估成果發布 第十一批評估報名開始
可信云安全評估體系深耕安全領域,
為國內云計算產業健康有序發展保駕護航。
2021年7月至12月,中國信通院組織開展第十批可信云安全評估,新增評估結果如下:
云服務用戶數據保護能力(私有云):
中國聯通軟件研究院天宮平臺
浦發銀行生態云平臺
云主機安全(增強級):
平安壹賬通
安全運營中心:
招商銀行ACS原生云安全運營中心
移動云 云安全中心
態勢感知:
浪潮云 云御安全運營中心
研發運營安全能力成熟度:
招商銀行
深信服
上海愛數
綠盟科技
研發運營安全工具:
酷德啄木鳥CodePecker (SAST)
圖1 可信云安全評估體系
目前可信云安全評估體系已經日臻成熟,涵蓋了云安全、軟件安全、業務安全與安全管理四大類。
云安全體系中包括云計算風險管理能力評估、云計算安全責任共擔評估、云服務安全評估(IaaS/PaaS/SaaS)與云服務用戶數據保護能力評估(公有云、私有云)。
云計算風險管理能力評估以《云計算風險管理框架》行業標準為指導,旨在引導云計算服務商建立完善的風險管理體系,幫助云計算廠商控制云計算對外運營的風險,幫助云服務客戶選擇風險可控的云計算廠商。評估包括風險管理組織架構、云計算外部環境風險管理能力、云計算平臺風險管理能力、云計算人員風險管理能力、云計算管理流程風險管理能力、云計算合規風險管理能力、云計算業務連續性風險管理能力、科技外包風險管理能力、風險溝通與監測、風險處置10大部分。
云計算安全責任共擔評估以《云計算安全責任共擔模型》標準為指導,旨在規范云服務商、云服務客戶等云計算相關方的責任劃分與承擔,促進我國云計算安全責任共擔模式的應用與發展。具體包括三大評估:
- 云服務商—云服務責任承擔能力評估:考察云服務商(至少提供IaaS、PaaS或SaaS中的一類云服務)的安全責任承擔情況,以及安全責任承擔披露情況,既是否如實告知客戶云服務商承擔的安全責任。
- 云服務客戶—云服務安全使用能力評估:考察云服務客戶(至少使用IaaS、PaaS或SaaS中的一種云服務)對所用云服務的安全使用能力。
- 云服務管理方—云服務責任管理能力評估:考察專有云、私有云管理方(如政務云主管方)能夠基于業務場景和安全要求對云平臺的責任進行有效管理。
云服務安全評估分為IaaS/PaaS安全能力與SaaS安全能力兩部分。IaaS/PaaS安全能力基于《云計算服務安全要求 第 1 部分:通用安全要求》與《可信云服務安全評估測評方法 第1部分:云主機服務》標準,從云服務用戶的角度針對IaaS/PaaS服務的安全狀況進行技術測評,從訪問控制、身份鑒別、數據保護、安全審計、安全運行與安全策略管理六大方面對云服務安全功能與機制提出要求。
SaaS安全能力以《云計算服務安全要求 第2部分:SaaS安全要求》標準為指導,對SaaS應具備的安全通用要求進行考察,為SaaS提供者在開發與設計階段,以及客戶在選擇SaaS時提供選型參考。
云服務用戶數據保護能力評估以《云服務用戶數據保護能力參考框架》、《云服務用戶數據保護能力評估方法 第1部分:公有云》、《云服務用戶數據保護能力評估方法 第2部分:私有云》行業標準為指導,旨在從用戶視角考量,幫助云計算服務提供者建立規范完備的用戶數據保護體系,幫助用戶選擇其數據能夠得到良好保護的云計算服務,評估分為數據持久性、數據私密性、數據隱私性、數據知情權、數據防竊取性、數據可用性、數據訪問安全性、數據傳輸安全性、數據遷移安全性、數據銷毀安全性、數據返還安全性、人員安全管控、入侵防范、惡意代碼防范、應急響應、安全審計、售后服務與技術支持、服務可審查性18個部分。
安全管理體系中包括安全運營中心能力評估與安全態勢感知能力評估。
安全運營中心能力評估以《面向云計算的安全運營中心能力要求》行業標準為指導,旨在衡量面向云計算的安全運營中心能力水平,分為平臺能力要求、人員能力要求與運營管理能力要求三大部分,細分為74項指標,包括通用能力、云資產管理能力、安全策略管控、安全漏洞和補丁要求、安全編排與自動化響應等。
安全態勢感知能力評估以《面向互聯網云計算的安全態勢感知平臺能力要求》標準為指導,旨在衡量面向云計算的態勢感知平臺服務水平,包括3個大的部分,平臺部署要求、平臺建設原則要求以及平臺能力要求,平臺能力包括態勢可視化、安全預警、日志檢索與管理、安全事件監控與告警、資產管理、統計報表、響應與處置、威脅情報等。
業務安全評估體系以《基于云計算的安全體系 第5部分:業務安全能力要求》行業標準作為指導,旨在為服務提供商在提供業務安全服務時的功能設計、產品研制、能力評估等方面進行指導和監督,同時為用戶在進行業務安全管理、對自身業務安全體系進行設計和評價時參照使用。目前業務安全評估體系包含對內容風控安全、交易風控安全、信貸風控安全、營銷風控安全、釣魚風控安全、防偽溯源安全、私域安全等7大業務安全場景的分場景評估要求。
軟件安全評估體系分為研發運營安全成熟度與研發運營安全工具兩個部分。
研發運營安全能力成熟度評估以《可信研發運營安全能力成熟度》標準為指導,強調安全左移,關注研發安全,分為管理制度以及涉及軟件應用服務全生命周期的要求階段、安全需求分析階段、設計階段、研發階段、驗證階段、發布階段、運營階段和下線階段九大部分,每個部分提取了關鍵安全要素,對于企業的研發運營安全能力從全生命周期維度進行評估,自低向高依次分為基礎級、增強級和先進級。
基于《面向云計算的研發運營安全工具能力要求 第2部分:靜態應用程序安全測試工具》及《面向云計算的研發運營安全工具能力要求 第3部分:交互式應用程序安全測試工具》標準,從用戶視角出發,針對安全工具能力及性能進行評估,幫助用戶進行選型參考,具體能力涵蓋掃描檢測分析能力要求、靈活性能力要求、分析輔助能力要求、開發流程嵌入能力要求、擴展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服務支持能力要求九大部分。
截至目前為止,通過各項評估的企業如下所示(排名不分先后):
云服務用戶數據保護能力評估(17家):
騰訊云(公有云、私有云)、阿里云(公有云、私有云)、華為云(公有云、私有云)、浪潮云(公有云、私有云)、百度云(公有云、私有云)、聯通云(公有云、私有云)、UCloud(公有云)、金山云(公有云)、移動云(公有云)、天翼云(公有云)、平安云(公有云)、飛鴻云(私有云)、華大基因(私有云)、華云(私有云)、福建移動(私有云)、浦發生態云(私有云)、聯通天宮平臺(私有云)
云計算安全責任共擔評估(7家):
云服務責任承擔能力:阿里云、騰訊云、聯通云、華為云、浪潮云、聯通軟研院
云服務責任管理能力:煙臺市大數據局
云服務安全評估:
IaaS/SaaS安全能力(16家):
金山云(云主機增強級)、銀聯(云主機增強級)、中國電信(云主機增強級,GPU云主機,物理機,塊存儲,彈性負載均衡)、移動(云主機增強級)、UCloud(云主機增強級)、平安壹賬通(云主機增強級)、浪潮云(云堡壘機)、騰訊云(微服務平臺)、聯通軟研院(容器平臺)、阿里云(云主機)、京東(云主機)、騰訊云(云主機)、萬達信息(云主機)、中國聯通(云主機)、平安科技(云主機)
SaaS安全能力(8家):
用友網絡科技股份有限公司(用友云平臺、智能會計、人力云、協同云、營銷云、供應鏈云、采購云、制造云)、華為技術有限公司(華為云WeLink&會議)、上海微盟企業發展有限公司(微盟業務系統)、北京知道創宇信息技術股份有限公司(知道創宇云安全防御平臺)、杭州天谷信息科技有限公司(e簽寶電子簽名云服務系統)、北京同創永益科技發展有限公司(IStorM DRaaS云容災平臺)、杭州點智連科技有限公司(上直播)、財智共享(北京)技術服務有限公司(i發函函證平臺)
云計算風險管理能力評估(16家):
阿里云、華為云、騰訊云、銀聯云、金山云、百度云、京東云、天翼云、UCloud、浪潮云、浦發銀行、平安科技、聯通沃云、移動云、中國聯通軟件研究院、中科曙光
安全態勢感知能力評估(6家):
阿里云(云安全中心)、騰訊云(T-Sec安全運營中心)、金山云(云安全管理中心)、移動云(移動云態勢感知)、華為云(華為云態勢感知)、浪潮云(云御安全運營中心)
安全運營中心能力評估(14家):
華為(HiSec 安全解決方案)、騰訊云(御見安全中心)、深信服(MSS 安全運營平臺)、阿里云(云盾-云安全管理中心)、聯通云(沃云安全監管平臺-WSOC)、浪潮云(云御安全運營中心)、奇虎360(安全管理運營中心)、啟明星辰(北斗安全運營中心)、浦發銀行(生態云安全運營中心)、天融信(云態勢分析與安全運營中心)、安恒(AiCSO云安全運營中心平臺)、知道創宇(云安全防御平臺)、招商銀行(ACS原生云安全運營中心)、中國移動(云安全中心)
業務安全評估(3家):
騰訊云、華為云、阿里云
研發運營安全能力成熟度評估(4家):
招商銀行、上海愛數、綠盟科技、深信服
靜態應用程序安全測試工具能力評估及交互式應用程序安全測試工具能力評估(5家):
靜態應用程序安全測試工具(SAST):
奇安信(網神代碼衛士系統)、
開源網安(CodeSec代碼審核平臺)、
酷德啄木鳥(CodePecker源代碼缺陷分析系統V7.0)
交互式應用程序安全測試工具(IAST):
懸鏡安全(靈脈IAST灰盒安全測試平臺)、
開源網安(VulHunter灰盒安全測試平臺)
第十一批可信云安全評估:
報名時間:即日起至4月中旬
評估時間:四月中旬至六月底
結果發布:2022年可信云大會
報名聯系人:
韓非 hanfei@caict.ac.cn 16601551669
衛斌 weibin@caict.ac.cn 18618259777
吳江偉 wujiangwei@caict.ac.cn 18810541612
可信云安全論壇將于12月28日下午兩點在北京市海淀區學院路39號 北京唯實酒店 四層唯實廳召開。
